DDOS AWS API 網關保護

我已經公開了 API Gateway (HTTP)。要進行身份驗證，您必須提供有效的 JWT。

我想用 Cloudfront + WAF 保護這個 APIGW。閱讀文件後，我認為 API Gateway 端點仍然暴露在 Internet 上。保護 API Gateway 的唯一方法是驗證 WAF 中的 Header。攻擊者仍然可以在 Internet 中找到 API Gateway 並直接對 API Gateway 端點進行 DDOS 攻擊，而無需經過 Cloudfront。

這種方法被認為是安全的嗎？Cloudflare 使用Tunnel來確保您的基礎設施不會暴露在 Internet 上。我認為這種方法更安全。AWS 中有類似的功能嗎？

我的觀點是，將 API 網關放在 CloudFront 後面的 Internet 上可能足夠安全。它旨在做到這一點。如果需要，您可以使用 CloudFront 來限制地理分佈，但通常 AWS Shield 與 CloudFront / Route53 結合使用可以為您提供足夠的 DDOS 保護。

您可以將您的 API Gateway 分發設為私有，然後通過 VPC/VPN 將其公開到 Internet，但這需要更多的工作和更多的成本。我傾向於僅在提供僅由 AWS 中的單個應用程序使用的服務時才使用私有 API 網關。

API Gateway 是一項託管服務。AWS 不希望他們的託管服務受到 DDOS 攻擊的破壞，因此他們保護它們並在 DDOS 攻擊發生時緩解它們。

如果您真的擔心這一點，您可以隨時為 AWS Shield Advanced 付費，但每月需支付 3,000 美元。這通常由成本不是主要因素的企業使用。

引用自：https://serverfault.com/questions/1097830